为WEB站点启用SSL
 
1、实验环境
   1.1 系统环境: CA、WEB服务器均为WINDOWS 2008。其中CA集成DNS服务器功能。
                  DNS区域名为: benet.com;为WEB服务器创建一条A记录。WEB服务
                  器的的完全合格域名为: www.benet.com
                  客户端为XP。
                  工作组环境
   1.2 实验拓扑:
      
       客户端: IP:192.168.100.200
                DNS:192.168.100.15
 
       CA机构:IP:192.168.100.15
       WEB服务器: IP: 192.168.100.16
 
2. 实验内容:
 2.1 服务器认证
 2.2 客户端认证
 
3. 实验步骤:
 3.1 服务器认证:
     3.1.1 信任CA。 在web服务器上打开浏览器输入http://192.168.100.15/certsrv,选择“下载CA证书”到本地,通过MMC控制台导入到“受信任的根证书颁发机构”。截图如下:
 A. 访问
B. 下载证书
C. 保存证书 (这是下载的CA证书,目的是为了信任CA)
D. 打开MMC控制台,导入证书:
 D1: 运行当中输入MMC
 D2: 添加证书组件:
至此,证书组件添加完毕,现在导入证书。
E:导入证书
接下来,选择你刚才下载的证书,将其导入“受信任的根证书颁发机构”就可以了!截图略。
    3.1.2 创建证书申请。 在web服务器上完成。打开IIS,鼠标点击服务器名,在中间窗口选择“服务器证书”,再在右侧窗口选择“创建证书申请”。根据提示完成申请。
   
注意通用名称:客户端以后只能通过此处的命名来访问WEB服务器。所以命名要准确,不要失误。其他信息可以随便填写。
连续2此下一步,输一个文件名,这个文件是一个文本文件,它将保存我们申请证书时要用到的编码:
点击完成即可。
    找到刚才的那个文本文件,将里面的内容全部复制,准备申请证书。
    3.1.3 申请证书。在web服务器上打开浏览器输入http://192.168.100.15/certsrv,选择申请证书,
   
注意:因为是工作组环境,所以所申请的证书没有自动颁发,要有CA的管理员手动颁发,所以,现在我们以管理员身份登陆到CA服务器上,选择管理工具中的证书颁发机构来颁发证书。我们的证书ID为2。
 点击颁发之后,我们可以到“颁发的证书”中查看到:
 至此申请证书完毕,接下来,需要在WEB服务器上下载此证书,并完成证书申请。
     3.1.4 下载证书。 在web服务器上打开浏览器输入http://192.168.100.15/certsrv 。操作如下:
    
下载证书,保存证书,同上面的操作一样。
     3.1.5 完成证书申请。在web服务器上完成。打开IIS,鼠标点击服务器名,在中间窗口选择“服务器证书”,再在右侧窗口选择“完成证书申请”。根据提示完成申请。
点击确定
     3.1.6   SSL绑定:   单击网站,选择绑定。
点击确定,再选择关闭,返回到了以下界面,选择SSL设置
设置完毕,客户端访问尝试一下。
 
现在使用https://www.benet.com访问:
访问成功。
 3.2 客户端认证。 当web服务器上的SSL设置中的“客户证书”为“必须”时,需要提供客户端认证,如果客户端没有用户证书,即使输入了https://www.benet.com,也是访问失败的。如图:
客户端访问:
如何实现呢?
    3.2.1 信任CA。操作过程参考3.1.1全步骤。
    3.2.1 申请用户证书。在客户端浏览器中输入:http://192.168.100.15/certsrv。
然后,点击“是”
因为是工作组,此证书没有自动颁发,还需要CA的管理员手动颁发,具体参考上面的步骤,注意ID号。
颁发之后,客户端重新登录http://192.168.100.15/certsrv,
至此,客户端证书安装完毕。测试:
访问成功。
 
再次强调: 这个实验的环境实在工作组环境完成。某些操作或名称和域环境的不一样,注意区别。